개요
-
데이터를 잘 캡처하기 위해 패킷 스니퍼를 어느 위치?에 배치할지 결정하는게 효과적인 패킷 분석을 위해 중요하다고 함.
-
패킷 스니퍼를 설치할 장소?를 결정하는 법에 대해 다룸.
무차별 모드
- promiscuous mode
- 네트워크에서 패킷을 스니핑하기 위해서는 무차별 모드 드라이버를 지원하는 네트워크 인터페이스 카드가 필요하다고 함...
- 클라이언트는 ARP 브로드캐스트 패킷을 수신은 하는데, 자기 MAC 주소가 아니면 그냥 버린다고 함.
이게 효율적이지만 패킷 분석할 때는 좋지 않음.
근데 NIC의 무차별 모드를 사용해 모든 트래픽을 캡처할 수 있다고 함..
허브에서 스니핑
- 허브가 설치돼 있는 네트워크에서 스니핑하는 게 왜 패킷 분석가의 꿈이라고 함.
근데 허브 기반 네트워크는 관리가 힘들어서 요즘에는 안쓴다고 함.. - 한 번의 하나의 장치만 허브와 통신할 수 있다고 함..
그래서 허브에 연결된 장치들은 서로 경쟁한다고 함.
그래서 패킷이 충돌하여 패킷을 여러번 보내야 할 수도 있고, 네트워크 성능이 저하될 수 있다고 함.
스위치에서 스피닝
-
스위치는 최신 네트워크 환경에서 사용되는 가장 일반적인 유형의 연결 장치라고 함.
-
브로드캐스트, 멀티캐스트, 유니캐트 트래픽 사용 가능하고 전이중 통신 가능.
-
근데 스위치 환경은 패킷 분석하기 더 어렵고 복잡하게 만든다고 함...
-
스위치 환경에서 다른 컴퓨터를 스니핑하기 위한 방법은
포트 미러링, 허빙 아웃, 탭 사용, ARP 캐시 포이즈닝 등의 방법이 있다고 함.....
port mirroring
- 특정 포트의 모든 트래픽을 다른 포트에 복사하게 하는 명령을 실행해서 패킷 스니핑하는 것 같음.
- 데이터 손실이 있을수 있어서? 좋은 모니터링 방법은 아니라고 함..
hubbing out
- 어떻게 한다는건지 잘 모르겠음.
사실 쓸 일도 없을거라 예상..!
나중에 실제로 필요해지면 제대로 알아보는 걸로...
탭 사용
- 네트워크 탭은 두 지점 사이에 배치해서 두 지점 사이의 패킷을 캡처할 수 있도록 하는 장치라고 함.
ARP cache poisoning
-
ARP 동작 방식
ARP는 같은 네트워크에서 한 컴퓨터가 다른 컴퓨터와 통신하기 원할 때 시작된다고 함.
ARP 캐시(테이블)를 검색해 IP주소와 연관된 MAC 주소가 있는지 찾음.
없으면 브로드캐스트 주소 ARP 요청을 보냄.
해당 IP주소를 가진 컴퓨터는 ARP에 응답하여 MAC 주소를 회신하고, 아닌 컴퓨터들은 무시한다고 함. -
ARP cache poisoning 동작 방법
ARP spoofing이라고도 불림.
스위치에 연결된 네트워크에 회선을 태핑하는 방법이라고 함... -
Cain & Abel 툴 사용?
ARP 캐시 포이즈닝 공격 시도할 수 있는 보안 툴이라고 함.
라우팅 환경에서 스니핑
- 스위치 환경에서 이용 가능한 모든 기술은 라우팅 환경에서도 적용할 수 있다고 함.
질문들
-
패킷 스니퍼를 물리적으로 어디에 설치한다는게 무슨 말인지?
-> 실제로 하드웨어적으로 패킷 스니핑 장치를 연결하는 건가?
그럼 직접 못해보는데... -
네트워크 인터페이스 카드(NIC)에 대해 자세히 모름.
네트워크 카드랑 똑같은건가?
어떻게 생겼는지, 구체적으로 어떤 역할을 하는지.. -
허브가 설치돼 있는 네트워크에서 스니핑하는 게 왜 패킷 분석가의 꿈일까?
-> 허브는 브로드캐스팅하니까.
허브의 빈 포트에 패킷 스니퍼를 연결하면 허브에 연결된 모든 컴퓨터의 트래픽을 분석할 수 있지. -
포트 미러링, 허빙 아웃, 탭 사용, ARP 캐시 포이즈닝이 뭔지 모름.
-
IP 주소(계층 3)를 이용해 MAC 주소(계층 2)를 알아내는 원리 까먹음.
-> 계층 2의 ARP 프로토콜을 이용해 수행됨.
-
스위치에 연결된 네트워크에 회선을 태핑한다는게 무슨 말??
